(Illustration: Pixabay)
L’Open Source Security Foundation (OpenSSF, rattachée à la fondation Linux) annonce la création d’un outil d’analyse des dépôts open source pour y détecter des ajouts malveillants. Ce projet appelé Package Analysis est présenté par Google, un des membres de l’OpenSSF au côté de Microsoft, AWS (branche cloud d’Amazon), GitHub, Canonical, Cisco, Meta (Facebook), Dell, Huawei, HP, Intel, Tencent, IBM, Red Hat, Spotify depuis peu, Samsung et d’autres.
« Trop facile » pour les acteurs malveillants
Ce programme effectue une analyse dynamique des packages téléchargés dans des dépôts open source populaires, et en dresse les résultats dans un tableau BigQuery. Pour Caleb Brown, ingénieur logiciel senior chez Google, malgré le rôle essentiel des logiciels open source dans la technologie actuellement, il reste trop facile pour des acteurs malveillants de diffuser des packages nuisibles, qui attaquent les systèmes, ainsi que les utilisateurs de ces logiciels. «Contrairement aux magasins d’applications mobiles qui peuvent rechercher et rejeter les contributions malveillantes, les dépôts de packages ont des ressources limitées pour examiner les milliers de mises à jour quotidiennes et alors qu’ils doivent maintenir un modèle ouvert où chacun peut contribuer.»
Caleb Brown ajoute qu’en détectant les activités nuisibles et en avertissant les consommateurs des comportements suspects avant qu’ils ne sélectionnent des packages, le programme «contribue à une chaîne d’approvisionnement logiciel plus sécurisée et à une confiance plus grande dans les logiciels open source».
200 paquets malveillants en un mois
Google donne des exemples de ce que son programme a détecté en un mois, environ 200 packages malveillants – dont beaucoup, de faible niveau, sont attribués à des chercheurs en cybersécurité chasseurs de primes du type «bug bounty».
Dans l’annonce faite par l’OpenSSF, cosignée par Caleb Brown et David A. Wheeler, directeur de l’Open Source Supply Chain Security de la fondation Linux, au titre du groupe de travail de sécurisation des projets critiques («Securing Critical Projects Working Group»), invitation est faite à d’autres contributeurs pour les objectifs futurs, qui sont de «détecter les différences de comportement des packages dans le temps, automatiser le traitement des résultats de l’analyse des paquets, les stocker au fur et à mesure de leur traitement pour une analyse à long terme, et l’amélioration de la fiabilité du pipeline logiciel».
Lire aussi
Google vous avertira désormais de la présence de fichiers suspects sur le web – 29 avril 2022
Google et Microsoft financent la sécurité de logiciels open source – 13 février 2022
Open Source Security Foundation: regrouper pour mieux sécuriser – 4 août 2020